Hoe u de plaag van misconfiguraties in de cloud kunt aanpakken
Inhoudsopgave:
Een blootgestelde clouddataopslag met de persoonlijke informatie van spelers van het Australische nationale voetbalteam onderstreept de groeiende dreiging die voortkomt uit verkeerde configuraties van de cloud. Volgens IBMVorig jaar waren ze de oorzaak van initiële toegang bij 11% van de datalekken. Maar door best practices te implementeren, zoals regelmatige beveiligingsaudits, strengere toegangscontroles en encryptie, en het naleven van industriestandaarden zoals ISO 27001, kan dit soort risico worden beperkt.
Wat is er gebeurd bij Football Australia?
In februari ontdekten onderzoekers van Cybernews bevestigd ze hadden een datalek ontdekt bij het Australische bestuursorgaan voor voetbal. Het incident werd veroorzaakt door onjuist geconfigureerde Amazon Web Services (AWS)-sleutels en bracht 127 gevoelige databuckets bloot.
Alarmerend was dat een van deze containers geen enkele beveiliging had en persoonlijk identificeerbare informatie (PII) bevatte, zoals de contracten en paspoorten van spelers van het Australische nationale voetbalteam. Andere blootgestelde gegevens omvatten de details van fans die kaartjes voor games kochten, de broncode en scripts van de digitale infrastructuur, en andere informatie over de infrastructuur van de organisatie. Football Australia beweert het beveiligingslek te hebben gedicht na ontvangst van een waarschuwing van de onderzoekers.
Misconfiguratie van de cloud is een epidemie
Voor IT-teams met een tekort aan personeel of overwerk kan het moeilijk zijn om het snelle tempo van de cloudinnovatie bij te houden en ervoor te zorgen dat de diensten die hun bedrijven gebruiken op de juiste manier zijn geconfigureerd.
“Misconfiguraties in de cloud zijn om begrijpelijke redenen endemisch geworden. Het razendsnelle tempo van cloudinnovatie heeft de complexiteit snel vergroot”, vertelt Increditools-beveiligingsanalist Kelly Indah aan ISMS.online. “AWS alleen al biedt meer dan 200 diensten, elk met meerdere configuratie-opties. Veel organisaties hebben moeite om hun interne vaardigheden actueel te houden te midden van deze technologische tsunami.”
Indah beschrijft ook de zelfgenoegzaamheid van sommige IT-professionals als een belangrijke oorzaak van verkeerde configuratie van de cloud, waarbij hij waarschuwt: “Het naadloze gemak van de cloud heeft ertoe geleid dat sommigen de zorg onderschatten die nodig is om omgevingen goed af te sluiten.”
Bovendien denken IT-professionals soms ten onrechte dat de cloudprovider verantwoordelijk is voor alle cyberbeveiligingskwesties, aldus Sean Wright, hoofd applicatiebeveiliging bij Featurespace.
De realiteit is echter dat zowel leveranciers als gebruikers een ‘gedeelde verantwoordelijkheid’ hebben het beveiligen van de wolk infrastructuur. Wright vertelt ISMS.online dat cloudproviders doorgaans infrastructuurproblemen zoals hardware, netwerken en software afhandelen, terwijl de gebruiker verantwoordelijk is voor het beheren van cloudaccounts en ervoor zorgt dat configuraties veilig zijn.
Wanneer mensen zonder de juiste training cloudplatforms gebruiken, zullen er onvermijdelijk problemen zoals verkeerde configuraties ontstaan.
“Omdat er zoveel diensten beschikbaar zijn, is het gemakkelijk om dingen fout te doen”, betoogt Wright.
Vance Tran, mede-oprichter van Pointer Clicker, zegt dat snelle cloudinnovatie ertoe heeft geleid dat leveranciers nieuwe functies sneller vrijgeven dan bedrijven beleid kunnen bijwerken en personeel kunnen opleiden.
“Bovendien spreiden ondernemingen verantwoordelijkheden over veel belanghebbenden zonder voldoende toezicht, waardoor het toezicht op en de verantwoordelijkheid voor het beheer van de beveiligingsconfiguratie een uitdaging wordt”, vertelt hij aan ISMS.online.
Verschillende soorten verkeerde configuratie
Als het gaat om het aanpakken van deze uitdaging, moeten IT- en cyberbeveiligingsteams zich bewust zijn van een aantal veelvoorkomende misconfiguraties in de cloud. Deze omvatten openbaar gemaakte sleutels en inloggegevens (volgens Football Australia) onjuist geconfigureerde toegangscontroles, open poort- en firewallregels en niet-versleutelde gevoelige gegevens in rust en onderweg, zegt Pointer Clicker's Tran.
Er kunnen zich allerlei beveiligingsproblemen voordoen als IT-teams te veel mensen toegang geven tot clouddiensten, of als ze verouderde poorten zoals FTP gebruiken op hun cloudhosts, betoogt Stephen Pettitt, verkoopdirecteur van M247. Hij zegt dat dergelijke problemen het leven van IT-professionals “nog moeilijker” maken.
Het per ongeluk toegankelijk maken van gevoelige gegevens voor iedereen is een terugkerende misconfiguratie van de cloud, aldus Matt Middleton-Leal, managing director van EMEA North bij Qualys.
“31% van de AWS S3-buckets zijn bijvoorbeeld openbaar toegankelijk, waardoor ze worden blootgesteld aan potentiële beveiligingsproblemen en aanvallen”, vertelt hij aan ISMS.online. “Openbare S3-buckets stellen ook andere diensten bloot – EC2-instances en RDS-databases kunnen bijvoorbeeld in gevaar komen als hun toegangssleutels, inloggegevens of back-upbestanden worden opgeslagen in een onveilige S3-bucket.”
Increditools' Indah voegt hieraan toe dat veelvoorkomende problemen, zoals openbaar toegankelijke cloudopslagbuckets en het onvermogen om strengere toegangscontroles af te dwingen, “een open uitnodiging vormen voor cybercriminelen”.
Beste praktijken kunnen helpen
Wright van Featurespace adviseert organisaties ervoor te zorgen dat alleen voldoende opgeleide professionals gebruik mogen maken van cloudplatforms en -diensten. Als dit niet lukt, adviseert hij een team van experts op te zetten die ervoor kunnen zorgen dat de cloudimplementatie veilig is.
Pointer Clicker's Tran voegt hieraan toe dat zero-trust beveiligingsmodellen en netwerksegmentatie veel risico's van misconfiguratie in de cloud kunnen beperken. Het regelmatig controleren van cloudservices op verkeerde configuraties en het gebruik van geautomatiseerde beveiligingstools zoals Amazon GuardDuty zal beveiligingsteams ook helpen kwetsbaarheden snel te identificeren, voegt hij eraan toe.
Ervoor zorgen dat multifunctionele teams gedeelde beveiligingsmodellen begrijpen, is een andere belangrijke stap.
“De cloud maakt beveiliging tot een taak van iedereen”, betoogt Tran. “Met de juiste cultuur en processen kunnen zelfs kleine organisaties de baas blijven over een steeds veranderend landschap.”
Het aannemen van een wereldwijd erkend industrieraamwerk zoals ISO 27001 kan ook de kans op misconfiguraties in de cloud verkleinen, aldus Rob Warcup, een partner bij Leading Edge Cyber. Hij vertelt ISMS.online: “ISO 27001 is een geweldig raamwerk om ervoor te zorgen dat alle grondslagen aan bod komen, inclusief paragraaf ‘6.2 Informatiebeveiligingsbewustzijn, onderwijs en training’ en paragraaf 5.1 Beleid voor informatiebeveiliging.”
Het nemen van proactieve stappen zoals regelmatige audits, aanvalssimulaties, training in beveiligingsbewustzijn, strikte toegangscontroles en gegevensversleuteling zullen bedrijven in staat stellen misconfiguraties in de cloud te voorkomen, aldus Indah van Increditools.
“Met waakzaamheid en een voortdurende inzet voor best practices op het gebied van cloudbeveiliging kunnen organisaties voorkomen dat de deur wijd open blijft staan voor gegevensdiefstal”, beweert ze. “Verscherp uw cloudconfiguraties voordat u het volgende waarschuwingsverhaal wordt.”
Zoals Football Australia onlangs heeft ontdekt, kunnen verkeerde configuraties in de cloud ernstige gevolgen hebben. Regelmatige controles op beveiligingslekken en het naleven van door de sector erkende beveiligingsnormen zoals ISO 27001 moeten organisaties helpen de risico's op dit snelgroeiende deel van hun bedrijfsaanvalsoppervlak beter te beheren.
